La sécurité des données sensibles relève d’un objectif central pour les entreprises françaises soumises au règlement général sur la protection des données (RGPD). Si ce règlement relève de l’obligation, la norme ISO 27001 n’est quant à elle pas obligatoire. De nombreuses sociétés s’en servent pourtant pour sécuriser leurs informations. Cette norme rassure aussi leurs clients quant à l’intégrité de leurs données confidentielles, dans le contexte propre à 2021 où la cybersécurité est un enjeu vital pour les entreprises.
Cette norme internationale recoupe effectivement différents atouts. En plus de rationaliser l'organisation interne de l'entreprise en vue d’une meilleure protection des données, elle permet aussi d’améliorer sa réputation. Le secteur du numérique français l’a massivement adoptée, tant qu’il devient presque difficile de ne pas s’y conformer. À quoi correspond précisément la certification ISO/IEC 27001 ? Comment se déroule la procédure de conformité ? Quels sont ses avantages et ses inconvénients pour votre organisation ?
Entre norme, réglementation, label et certification, comment s’y retrouver ? Les pouvoirs publics créent la réglementation, elle a donc valeur légale. Elle s’impose ainsi aux entreprises, ce qui la différencie des normes. Les normes s’appliquent volontairement, pour prouver un niveau de sécurité ou de qualité.
Il y a de nombreuses normes ISO comme l’ISO 27001, l’ISO 9001 ou encore l’ISO 14001. Ces normes se définissent comme des documents de référence, émis par des instituts de normalisation. Parmi ces instituts, l'organisation internationale de normalisation, ou International Organization for Standardization (ISO), ou encore l’AFNOR, l’association française de normalisation. Les normes n’ont cependant pas de caractère obligatoire. Les entreprises s’en servent pour incarner leur engagement en termes de qualité, ou de sécurité.
La norme est intimement liée au concept de certification. La certification s’appuie effectivement sur des normes pour être prononcée. Une entreprise certifiée ISO 27001 a donc appliqué la norme ISO 27001, c’est-à-dire les protocoles qui optimisent son système d’information. Cette société se plie ainsi volontairement à la norme référence en matière de système de management de la sécurisation des données informatiques. C’est un organisme accrédité qui vérifie sa conformité à la norme, ainsi que sa capacité à rester conforme dans le temps.
En ce qui concerne les réglementations, ce sont les autorités administratives qui les émettent. Il peut s'agir de l'État, du Sénat, ou encore de collectivités locales. Dans tous les cas, la réglementation relève de la loi, et elle s’impose légalement aux entreprises.
Le respect de la réglementation est un pré-requis pour assurer sa conformité à une norme. Dans le cas de la norme ISO 27001, par exemple, les sociétés françaises doivent respecter la réglementation en matière d'information pour pouvoir prétendre à une certification ISO 27001. Elles doivent notamment se plier au règlement général sur la protection des données (RGPD).
Les labels sont moins exigeants que les réglementations et normes. Ils peuvent effectivement être émis par des organismes publics, comme par des structures privées. Beaucoup moins encadrés que les certifications, ils ne prouvent pas toujours le sérieux de l’entreprise qui s’y plie. La fiabilité des labels varie effectivement selon les organismes qui les émettent.
En matière de cybersécurité, il existe de nombreux labels français. Le label France Cybersecurity se distingue ainsi parce qu’il relève du plan Cybersécurité piloté par l’Agence nationale de la sécurité des systèmes d'information (Anssi). Le label Expert Cyber, destiné à valoriser les professionnels de la sécurité informatique, est tout aussi fiable, vu que développé par Cybermalveillance.gouv.fr.
ISO/IEC 27001 relève en réalité d’une famille d’une douzaine de normes censées assurer la sécurité des informations sensibles manipulées par les entreprises.
L’organisation internationale de normalisation estime que la norme ISO/IEC 27001 est la plus connue des normes sur la sécurité des informations. Ce texte a pour particularité de préciser “les exigences relatives aux systèmes de management de la sécurité des informations (SMSI)”.
L’ISO affirme ainsi que la mise en œuvre de ISO 27001 doit faciliter le management de la sécurité des “actifs sensibles”. Il peut s'agir de données financières, d'informations sur le personnel, de fichiers relatifs à la propriété intellectuelle, ou de données sur vos partenaires commerciaux. Répondre aux exigences de cette norme doit donc permettre à l’entreprise de se prémunir de toute perte, vol ou altération de ses données confidentielles et des risques associés éventuels.
Comme toutes les normes, ISO/IEC 27001 n’est pas une obligation pour les entreprises françaises. Elle est cependant particulièrement utile pour assurer la cybersécurité de ses processus. Certaines sociétés s’en servent aussi pour prouver à leurs clients et prospects leur engagement en matière de cybersécurité.
Dans le détail, la norme ISO 27001 entend protéger la sécurité informatique des entreprises en les préservant des risques cyber :
L’ensemble de ce terrain d’action relève dudit SMSI. Il s’applique à la fois aux systèmes d’information et aux processus et personnes concernées par la cybersécurité. Il constitue ainsi un outil performant de gestion des risques et d’anticipation des failles de cybersécurité.
Pour être certifiée ISO 27001, une entreprise doit se soumettre à plusieurs démarches :
Contrairement à ce qu’on pourrait penser, ce n’est pas l’International Organization for Standardization qui délivre les certifications ISO. La conformité à ISO 27001 relève de la décision d’un organisme certificateur accrédité, à la suite de son audit de votre entreprise. C’est donc cet organisme qui décide des modalités d'évaluation.
En France, l’organisme certificateur le plus connu est le COFRAC, soit le Comité français d’accréditation. Le ministère du travail, de l’emploi et de l’insertion publie également une liste des principaux organismes certificateurs français. Quel que soit celui qui réalise la certification ISO 27001, celle-ci n’est valable que 3 ans. Après ce délai, un audit de contrôle doit être effectué tous les ans.
Mettre en place la norme ISO 27001 apporte différents bénéfices pour votre entreprise, notamment en matière de sécurité informatique. Elle assure la sécurité de vos données et vous prémunit des pertes financières liées au vol d’informations confidentielles. Elle reste cependant complexe à appréhender et à appliquer.
Le principal avantage de la norme ISO 27001 consiste à assurer à l'entreprise qui l'applique un système de cybersécurité efficace. Cette certification fournit effectivement un cadre à la protection des systèmes d’information. Elle fournit aussi des protocoles adaptables sur-mesure pour rentabiliser les coûts liés à la sécurité informatique. Cette certification a cependant d’autres bénéfices :
Les experts de la cybersécurité émettent une série de critiques à l’égard de la norme ISO 27001. D’aucuns déplorent que certaines entreprises s’en servent avant tout comme argument marketing, plus que comme moyen de rationaliser la cybersécurité des données. Cette démarche aboutirait à des applications plus ou moins sérieuses des protocoles et des mesures de prévention détaillées par ISO/IEC 27001.
D’autres estiment que la norme reste très complexe, autant dans son texte que dans son application. Chronophage, elle pourrait inciter les équipes concernées à enfreindre les règles pour gagner du temps. La norme ISO 27001 a effectivement l’inconvénient de se contourner facilement une fois maîtrisée.
Toutes les entreprises dont la sécurité des informations représente un atout stratégique devraient s'intéresser à la norme ISO 27001, grands groupes comem petites et moyennes entreprises.
Les entreprises françaises sont de plus en plus concernées par les cyberattaques qui visent les données confidentielles. Il peut s’agir de mails piégés, comme les tentatives de hameçonnage, ou de virus espions, qui relèvent eux du malware. Vous pouvez aussi être la victime d’un ransomware : un vol de données sensibles en échange d’une rançon. Selon l'ANSSI dans son "État de la menace aux rançongiciels”, ces attaques se sont multipliées par 4 de 2019 à 2020.
Cette cyberdélinquance ciblée sur l’intégrité et la confidentialité de l’information est amenée à croître. La cybercriminalité se professionnalise. Les pirates informatiques savent que les entreprises se forment davantage aux cyberrisques, et qu’elles sont aussi prêtes à dépenser plus pour assurer la sécurité de leurs données. Les enjeux en termes de réputation et de valeur financière des entreprises sont effectivement conséquents.
Contrairement à une idée largement véhiculée, les entreprises du CAC 40 ne sont pas les seules victimes des hackers. Parmi les petites et moyennes entreprises (PME) françaises de moins de 50 salariés, 4 sur 10 ont déjà subi une ou plusieurs attaques informatiques, selon une enquête de la CPME. Mieux préparés aux cybercrimes, les grands groupes se remettent plus vite du vol de données que les PME ou très petites entreprises (TPE).
Les sommes que les pirates réclament en échange de données volées peuvent par ailleurs considérablement affaiblir la structure budgétaire d’une petite entreprise. Le grand groupe arrive quant à lui souvent à se relever de l'extorsion de ses informations.
C’est cet ensemble de risques que la norme ISO 27001 doit vous permettre d’éviter. Adoptée par 152 entreprises en 2012, elle concernait 37500 sites en 2017. Un chiffre qui ne cesse de croître, et qui va bientôt s’imposer comme une normalité pour le secteur du numérique et du conseil en cybersécurité.
La norme ISO/IEC 27001 recoupe effectivement 114 mesures de sécurité. Une exhaustivité qui doit vous permettre de ne sous-estimer aucun risque pour la sécurité de vos informations. En 2021, il s’agit donc d’un des guides de cybersécurité les plus efficaces pour assurer l'intégrité, la disponibilité et la confidentialité des données.
ISO/IEC 27001 est une norme internationale qui porte sur la sécurité des systèmes de management de la sécurité des informations (SMSI).
Cette norme permet à l’entreprise de rationaliser ses procédures de protection des données sensibles. Elle prévient la perte, le vol et l’altération de ses informations, en plus de protéger les systèmes d’informations de l’intrusion et des sinistres. Elle aide aussi à améliorer la réputation de l’entreprise en matière de cybersécurité.
La certification à la norme ISO 27001 implique de se soumettre à un certain nombre de procédures, dont une analyse des risques, un Plan de Traitement du Risque et une Déclaration d’Applicabilité. La certification dépend ensuite de l’évaluation de l’organisme certificateur.